Windows Server 2003 で定義済みのセキュリティ テンプレートを適用する方法

この記事では、定義済みのセキュリティ テンプレートを適用する方法について説明します。

適用対象: Windows Server 2003
元の KB 番号: 816585

概要

Microsoft Windows Server 2003 には、ネットワーク上のセキュリティ レベルを向上させるために適用できる定義済みのセキュリティ テンプレートがいくつか含まれています。 Microsoft 管理コンソール (MMC) のセキュリティ テンプレートを使用して、要件に合わせてセキュリティ テンプレートを変更できます。

Windows Server 2003 の定義済みのセキュリティ テンプレート

• 既定のセキュリティ (security.inf のセットアップ)

  セットアップ security.inf テンプレートはインストール中に作成され、コンピューターごとに固有です。 インストールがクリーンインストールかアップグレードかによって、コンピューターによって異なります。 セットアップ security.inf は、オペレーティング システムのインストール中に適用される既定のセキュリティ設定 (システム ドライブのルートに対するファイルのアクセス許可など) を表します。 サーバーとクライアント コンピューターで使用できます。ドメイン コントローラーには適用できません。 ディザスター リカバリーのために、このテンプレートの一部を適用できます。

  グループ ポリシーを使用してセットアップ security.inf を適用しないでください。 そうすると、パフォーマンスが低下する可能性があります。

  注:

  Microsoft Windows 2000 には、ocfiless (ファイル サーバー用) と ocfilesw (ワークステーション用) という 2 つのその他のセキュリティ テンプレートが存在します。 Windows Server 2003 では、これらのファイルはセットアップ security.inf ファイルに置き換えられます。

• ドメイン コントローラーの既定のセキュリティ (DC security.inf)

  このテンプレートは、サーバーがドメイン コントローラーに昇格されるときに作成されます。 ファイル、レジストリ、システム サービスの既定のセキュリティ設定が反映されます。 このテンプレートを再適用すると、これらの設定は既定値に設定されます。 ただし、テンプレートは、他のプログラムによって作成された新しいファイル、レジストリ キー、およびシステム サービスに対するアクセス許可を上書きすることがあります。

• 互換性 (Compatws.inf)

  このテンプレートは、Windows ロゴ プログラム for Software に属していないほとんどのプログラムの要件と一致する方法で、Users グループのメンバーに付与される既定のファイルとレジストリのアクセス許可を変更します。 互換性のあるテンプレートでは、Power Users グループのすべてのメンバーも削除されます。

  ソフトウェア用 Windows ロゴ プログラムの詳細については、次の Microsoft Web サイト「Windows Server カタログ」を参照してください。

  注:

  互換性のあるテンプレートをドメイン コントローラーに適用しないでください。

• Secure (Secure*.inf)

  セキュリティで保護されたテンプレートは、プログラムの互換性に影響を与える可能性が最も低い拡張セキュリティ設定を定義します。 たとえば、セキュリティで保護されたテンプレートでは、より強力なパスワード、ロックアウト、監査の設定が定義されます。 さらに、テンプレートでは、NTLMv2 応答のみを送信するようにクライアントを構成し、LAN Manager 応答を拒否するようにサーバーを構成することで、LAN Manager と NTLM 認証プロトコルの使用を制限します。

  Windows Server 2003 には、ワークステーション用の Securews.inf とドメイン コントローラー用の Securec.inf という 2 つの定義済みのセキュリティで保護されたテンプレートがあります。 これらのテンプレートとその他のセキュリティ テンプレートの使用に関する詳細については、ヘルプとサポート センターで "定義済みのセキュリティ テンプレート" を検索してください。

• 安全性の高い (hisec*.inf)

  高度にセキュリティで保護されたテンプレートでは、セキュリティで保護されたテンプレートによって定義されていない追加の制限 (セキュリティで保護されたチャネルを介した認証とデータ交換に必要な暗号化レベルや署名、サーバー メッセージ ブロック (SMB) クライアントとサーバー間など) を指定します。

• システム ルート セキュリティ (Rootsec.inf)

  このテンプレートでは、ルートアクセス許可を指定します。 既定では、Rootsec.inf はシステム ドライブのルートに対してこれらのアクセス許可を定義します。 ルート ディレクトリのアクセス許可が誤って変更された場合は、このテンプレートを使用して再適用することも、同じルート アクセス許可を他のボリュームに適用するようにテンプレートを変更することもできます。 指定したとおり、テンプレートは子オブジェクトに対して定義されている明示的なアクセス許可を上書きしません。子オブジェクトによって継承されるアクセス許可のみが反映されます。

• ターミナル サーバー ユーザー SID なし (Notssid.inf)

  このテンプレートを適用すると、ターミナル サービスWindows ターミナル実行されていないときに、ファイル システムとレジストリの場所からサーバー セキュリティ識別子 (SID) を削除できます。 その後、システムのセキュリティが必ずしも向上するとは限りません。 Windows Server 2003 のすべての定義済みテンプレートの詳細については、ヘルプとサポート センターで「定義済みのセキュリティ テンプレート」を検索してください。

  重要

  ドメイン コントローラーにセキュリティ テンプレートを実装すると、既定のドメイン コントローラー ポリシーまたは既定のドメイン ポリシーの設定が変更される場合があります。 適用されたテンプレートは、他のプログラムによって作成された新しいファイル、レジストリ キー、システム サービスに対するアクセス許可を上書きする可能性があります。 これらのポリシーの復元は、セキュリティ テンプレートを適用した後に必要になる場合があります。 ドメイン コントローラーで次の手順を実行する前に、SYSVOL 共有のバックアップを作成します。

セキュリティ テンプレートを適用する

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、「mmc」と入力し、[OK] をクリックします。
2. [ファイル] メニューの [スナップインの追加と削除] をクリックします。
3. [追加] をクリックします。
4. [ 使用可能なスタンドアロン スナップイン ] の一覧で、[ セキュリティの構成と分析] をクリックし、[ 追加] をクリックし、[ 閉じる] をクリックして、[OK] をクリック します。
5. 左側のウィンドウで、[ セキュリティの構成と分析 ] をクリックし、右側のウィンドウに手順を表示します。
6. [セキュリティの構成と分析] を右クリックし、[データベースを開く] をクリックします。
7. [ ファイル名 ] ボックスにデータベース ファイルの名前を入力し、[ 開く] をクリックします。
8. 使用するセキュリティ テンプレートをクリックし、[ 開く ] をクリックして、テンプレートに含まれているエントリをデータベースにインポートします。
9. 左側のウィンドウで [ セキュリティの構成と分析 ] を右クリックし、[ コンピューターの今すぐ構成] をクリックします。